Los honeypots se pueden dividir principalmente en dos de acuerdo a los objetivos que se les den, existen los de producción y los de investigación:

Honeypots de producción

Son fáciles de implementar y mantener, van destinados a utilizarse en entornos de producción de empresas. Es impulsado por la necesidad de lograr un mayor nivel de seguridad, no obstante, recopila menor cantidad de información. También dan respuesta a la empresa sobre por qué reciben ciberataques y cuál es el motivo de que los ciberdelincuentes se hayan fijado en esa empresa.

Honeypots de investigación

Normalmente los utilizan organizaciones sin ánimos de lucro e instituciones educativas donde su objetivo es descubrir nuevas amenazas, aprender y estudiar acerca de técnicas de ataque, para poder mejorar la protección de un sistema de los distintos patrones de ataque y amenazas.

No aportan ningún valor directo a la seguridad de una organización puesto que no se implementan para proteger redes, sino que se usan generalmente para la investigación y análisis forense de redes de forma que se puedan entender los ataques en curso y los objetivos de los atacantes para crear nuevas contramedidas.

Clasificación de honeypots según la interacción del hacker

Por su parte, los honeypots pueden clasificarse de acuerdo al nivel de interacción que se le permitirá tener al hacker con el sistema una vez que esté infectado, a mayor cantidad de datos que se quieran recopilar mayor deberá ser la interacción, pero esto conlleva un mayor riesgo para la seguridad de la red, por ello existen tres categorías de interacción principales, baja, media y alta, pero se suma también una mixta:

Baja interacción

Presentan a los atacantes servicios emulados con un subconjunto limitado de funcionalidades que van destinadas a imitar aplicaciones u otros sistemas o equipos de la red. Tiene como objetivo detectar principalmente fuentes de actividad no autorizadas. Así, el analista de seguridad puede obtener la menor cantidad de datos comparado con otros honeypots.

Su implementación se basa en instalar un software emulador de SO, seleccionar el SO y los servicios que se desean emular, establecer la estrategia de monitoreo y dejar que el software opere por su cuenta de forma normal. No obstante, dependiendo del propósito que se tenga, un honeypots de baja interacción puede ser un sistema simple que, por ejemplo, solo monitoree las conexiones entrantes, o puede ser un sistema complejo dedicado a la descarga de nuevas muestras de malware.

Estos honeypots de baja interacción que usan sistemas emulados permiten limitar las actividades del atacante al nivel y calidad de emulación que tenga el honeypot, pues la emulación de los servicios mitiga el riesgo de penetración conteniendo al intruso y evitando que acceda al SO real y cause daños en otros sistemas dentro de la red.

Como beneficio, este tipo de honeypots son sencillos de implementar, configurar, usar y mantener, los riesgos son mínimos, pero para un atacante experto son relativamente fáciles de detectar porque pueden identificar las capacidades de emulación de servicios.

Alta interacción

Son de los honeypots más avanzados, y permiten que el atacante interactúe con el SO real, dándole la posibilidad de que pueda realizar cualquier cosa solo para poder capturar la mayor cantidad de información sobre sus técnicas de ataque. Son una solución más compleja porque implican el uso de SO y aplicaciones reales implementadas en hardware real que se ejecutan de forma normal.

Tiene ventaja si se quiere almacenar en caché, rastrear y monitorear las actividades y motivaciones de un atacante humano, pues le permite descargar archivos e instalar herramientas, proporcionando grandes cantidades de información. Generalmente, los atacantes, después de un compromiso exitoso del honeypot, instalan un kit de raíz que oculte sus acciones y les permita controlar de forma remota el sistema comprometido.

Estos honeypots de alta interacción requieren de mucho tiempo y son difíciles de mantener, se debe realizar una limpieza adecuada y la reinstalación después de cada infección exitosa, para poder observar ataques posteriores independientes del ataque inicial, pero este proceso, a pesar de la ayuda de la virtualización, es lento y no permite el uso del honeypot durante la reinstalación.

Interacción mixta

Para resolver la problemática de la baja escalabilidad de los honeypots de alta interacción se propone un enfoque mixto que combine la interacción alta con la baja, introduciendo una estructura de dos pasos. En el primer paso, se procesa todo el tráfico por componentes de baja interacción que permiten cubrir una amplia gama de direcciones IP. Este honeypot de baja interacción filtra todos los ataques nunca antes vistos y los retransmite al sistema de alta interacción.

Así se pueden descartar todos los ataques conocidos anteriormente sin tener que usar los recursos del honeypot de alta interacción, y en el segundo paso, las conexiones seleccionadas se transmiten al componente de alta interacción para que sean analizadas, analizando solo aquellos ataques que sean desconocidos y por tanto, más interesantes.

Interacción media

Dan una interacción expandida de los honeypots de baja interacción, pero en menor medida que los de alta interacción. Proporcionan una implementación parcial de servicios y no permiten la interacción completa con el sistema. No permite que el SO esté expuesto directamente, pero sí se puede obtener más información y ataques más complejos por parte del atacante.

Un ejemplo es que en un sistema de interacción media se implemente parcialmente un protocolo HTTP para emular la ejecución de un proveedor conocido. Al ser más avanzado, tendrá más errores de seguridad que el hacker aprovechará para acceder al sistema.

Como puedes ver, esta herramienta es de mucha utilidad, pero evidentemente para que funcione, primero debes configurar tu sistema de red de tal forma que, cuando cualquier atacante entre a la red, lo primero que encuentre sea el sistema honeypot que hayas implementado y sus ataques se centren en ellos. Además, los honeypots en IoT, como todo sistema informático, también tienen desventajas, fallos y vulnerabilidades, ya que ellos solo pueden detectar ataques que vayan contra ellos mismos, y registrar los datos de dichos ataques, pero no lo van a poder parar.

Los ciberdelincuentes, cada vez que sale un nuevo dispositivo al mercado, encuentran nuevos vectores de ataque y nuevas técnicas de piratería para apoderarse de los sistemas. Así que es necesario monitorear y asegurar constantemente los ecosistemas de IoT, tener la capacidad de detectar nuevos patrones y botnets emergentes, ataques DDoS, malware y exploirt de día cero.

Entre todas las herramientas que han surgido, se encuentra el honeypot. Cuenta con una red aislada y separada, que imita una red real de valor y atractiva para los atacantes. Este es un sistema trampa o señuelo, que puede actuar y verse como uno real, para hacer caer a los atacantes en él y de esa forma poder monitorear la interacción entre éstos y el dispositivo infectado.

Por tanto, se utiliza como herramienta en la seguridad informática, dispuesto en una red o sistema informático para ser el objetivo de los posibles ataques informáticos y así poder detectarlos, y obtener al mismo tiempo información de este y del atacante.

Se considera una herramienta de pentesting, de mucha utilidad para los investigadores de seguridad, que les permite reconocer los ataques y las herramientas de engaño que usan los atacantes. Así que es de suma importancia su implementación en IoT, ya que es de las plataformas más usadas hoy en día para obtener información de ataques emergentes contra diferentes tipos de software o los patrones de ataque, generar informes para analizar y proporcionar datos de inteligencia que serán usados posteriormente para crear técnicas de prevención contra amenazas de red.

Estos sistemas trampa se configuran en una máquina virtual o un servidor en la nube, conectados a una red, pero aislados y monitoreados estrictamente por equipos de sistemas y redes. Estos se diseñan de forma que sean intencionalmente vulnerables para que así los atacantes los detecten gracias a sus debilidades, y ahí se centrarán e intentarán explotarlas para intentar atacarlas usando spam, phishing, DDoSo cualquier otro método.

Las debilidades que suelen usarse son agujeros de seguridad dentro de una aplicación, vulnerabilidades del sistema como puertos abiertos innecesarios, versiones desactualizadas de software, contraseñas débiles o un kernel antiguo sin parches.

Cuando el atacante identifica la vulnerabilidad, intenta lanzar el ataque y escalar los privilegios hasta que obtenga cierto control de la caja o aplicación, pero realmente un administrador de honeypot está observando cada paso que ese atacante da, y recopilando información que lo ayudará a fortalecer sus políticas de seguridad y a su vez, informar a las autoridades legales de lo que ocurre.

Los honeypots en IoT distraen la atención de los atacantes de los datos importantes alojados en las redes reales. Además, en general, todas las conexiones que se den a esta herramienta pueden ser tratadas como hostiles, ya que son pocas las razones que puedan motivar a un usuario legitimo a conectarse a este tipo de sistema.

Para configurarlo deberás saber qué nivel de dificultad de piratería quiere exponer al atacante, porque si es demasiado fácil, el atacante puede perder el interés o incluso darse cuenta de que no es un sistema de producción real y, si por el contrario, está demasiado reforzado, entonces no podrá recopilar ninguna información. Lo recomendable en cuanto a este punto es seleccionar una dificultad media para que simule un sistema real.

Sin embargo, se debe tener en cuenta que un atacante avanzado con suficiente nivel de conocimiento técnico puede identificar señales de que se encuentra en un honeypot. Además, existen detectores de honeypot automatizados que permiten identificar las direcciones IP de estos sistemas y facilitan la información a los atacantes que no tienen tanto conocimiento técnico.